CN112469003B

CN112469003B - 基于混合加密的交通传感网数据传输方法、系统及介质

Info

Publication number: CN112469003B
Application number: CN202110150570.9A
Authority: CN
Inventors: 戚湧; 刘洺君
Original assignee: Nanjing University of Science and Technology
Current assignee: Nanjing University of Science and Technology
Priority date: 2021-02-04
Filing date: 2021-02-04
Publication date: 2021-07-27
Anticipated expiration: 2041-02-04
Also published as: CN112469003A

Abstract

本发明公开了一种基于混合加密的交通传感网数据传输方法及系统，在智能车载终端与智能路测设备、云平台进行端到端的数据传输，使用服务端承载的智能交通轻量化密钥数字证书进行双向认证；数据传输过程中，使用混合加密传输的方法对数据进行双重加密，同时加入随机密钥和随机明文计算散列值进行对比验证。本发明结合SM4对称加密算法加解密速度快和SM2非对称加密算法加密密钥管理难度低，安全性高的优势，确保该方法可应用于智能车载终端、智能路测设备以及云平台的通信过程中，能够有效提升交通传感网数据传输的安全性及传输效率。

Description

基于混合加密的交通传感网数据传输方法、系统及介质

技术领域

本发明涉及车联网安全技术领域，特别是一种基于混合加密的交通传感网数据传输方法、系统及介质。

背景技术

随着汽车产业智能化和网联化的发展进程，交通的各个要素都将暴露在各种网络环境下，智能交通各种基础信息数据的获取、采集需要依赖安装在运行车辆和路测设施的信息节点。这些节点面临着信息泄露、数据篡改、重放攻击、拒绝服务等多种威胁，不仅信息容易遭到空中拦截、窃听或篡改，节点还容易被攻击者物理操纵，以获取存储在节点中的信息，进而对整个智能交通网络造成威胁。

传统的数据传输加密技术为单一的对称加密系统和非对称加密系统。单一的对称加密系统具有加密速度快但密钥管理困难，安全性不高的特点，由于无法实现数字签名操作，通信过程中数据篡改的威胁也是需要解决的问题。单一的非对称加密系统具有密钥管理难度低但加密速度慢，安全性高的特点，只适合对少量数据进行加密。

基于上述分析，如何实现密钥管理难度低且加密速度快、效率高的数据传输，是目前需要解决的技术问题。

专利CN105812349B公开了一种基于身份信息的非对称密钥分发及消息加密方法，采用的是对身份验证信息的通信与认证，但是解决不了双向认证的问题。

发明内容

1、本发明的目的

本发明的目的在于克服上述现有技术的不足，提供了一种基于混合加密的交通传感网数据传输方法及系统，用来解决如何实现密钥管理难度低且加密速度快、效率高的数据传输问题。

2、本发明所采用的技术方案

本发明公开了一种基于混合加密的交通传感网数据传输方法，在智能车载终端与智能路测设备、云平台进行端到端的数据传输，所述数据传输方法包括如下步骤：

步骤1、基于服务端承载的智能交通轻量化密钥数字证书对客户端和服务端进行双向认证，验证通过后在客户端和服务端建立通信通道；

获取CA证书进行证书签发，服务端响应解码数据获取新CA证书，由车载终端进行本地存储，具体为：获取预制CA二级证书、加载SCEP服务器下载的证书、构造证书管理器、验证SCEP服务器证书，为0则服务器有效；

步骤2、客户端随机生成SM2密钥对，并通过密钥数字证书将SM2密钥对加密发送至服务端；

步骤3、客户端和服务端分别一方作为发送方，一方为接收方；发送方随机生成SM4密钥Key和明文Data，使用SM4密钥Key通过SM4算法对明文Data进行加密，得到密文CData；

步骤4、发送方使用SM2公钥通过SM2算法对SM4密钥Key进行加密，得到密钥块CKey；

步骤5、发送方对明文Data与密钥Key进行散列运算，得到散列值CHash；

步骤6、发送方将密文CData、密钥块CKey及散列值CHash形成发送数据一同发送至接收方；

步骤7、接收方使用SM2私钥通过SM2算法对密钥块Ckey进行解密得到密钥Key；

步骤8、接收方使用密钥Key通过SM4算法对密文CData进行解密，得到明文Data；

步骤9、接收方对明文Data与密钥Key进行散列运算，并将所得散列值与散列值CHash进行对比，若相等则输出明文，若不等则报错并退出。

更进一步，服务器响应解码数据：

获取请求生成的证书并加载；

获取请求生成的车载终端私钥并加载；

解码SCEP响应数据。

更进一步，后台控制系统和硬件Android车载终端ADAS（Advanced DrivingAssistance System，高级驾驶辅助系统）传输通信，通过Linux系统使用汇编指令获取车载终端ADAS信息，设置如下：

接口：

1、连接车载终端ADAS设备，设置设备名称、设备操作句柄；

2、获取车载终端ADAS设备状态，包括设备名称、设备状态；

3、车载终端ADAS设备认证，包括连接返回的设备句柄、交通认证数据、交通认证数据长度；

导入SM2加密密钥对，包括密钥容器、SM2加密密钥对；

导入SM4加密密钥对，包括密钥容器、对称算法密钥标识、对称算法密钥、对称算法密钥长度、SM4加密私钥、SM4加密公私钥对长度；

导入SM2数字证书，包括容器句柄，True表示签名证书、FALSE表示加密证书，设置证书内容缓冲区、证书长度；

交通数据明文导入会话密钥，包括设备句柄、会话密钥值缓冲区、会话密钥算法标识、返回会话密钥句柄；

交通数据单组加密，包括加密密钥句柄、待加密交通数据、待加密交通数据长度、加密后数据缓冲区、输出结果数据长度；

交通数据单组解密，包括解密密钥句柄、待解密密文数据、待解密密文数据长度、解密后数据缓冲区、输出结果数据长度；

SM3杂凑验证，包括杂凑对象即交通明文数据及SM4密钥key、消息数据缓冲区、消息数据长度、SM3杂凑数据缓冲区、输出结果数据长度。

更进一步，

步骤1中所述验证SCEP服务器证书包括如下分步骤：

步骤1.1客户端向服务端发起证书签发请求，并随机生成SM2公私钥对，通过证书保存SM2私钥发送至服务端；

步骤1.2服务端向客户端发送自己的数字证书；

步骤1.3客户端请求生成自签名证书作为客户端临时证书并保存；

步骤1.4客户端将自签名证书及服务端证书一同发送至服务端；

步骤1.5服务端获取证书签发请求生成的自签名证书，服务端证书和证书保存的SM2私钥，并进行验证；

步骤1.6服务端向客户端发送响应请求；

步骤1.7服务端解密响应数据，并将响应状态发送至客户端，客户端则获取新签发证书。

更进一步，所述交通传感网为智能交通的数据交互通道，将智能车载终端、智能基础设施侧单元、云平台三个层级通过有线、无线通信协议连接起来进行通信；交通传感网交互数据具体包括：

车载终端与车载终端进行信息传递包括车辆位置、行驶速度等车辆状态信息，用于判断道路车流状况；

车载终端与路测设备数据交互通过车载终端获取路测设备的信号灯信息、路况以及气象信息，用于监测道路环境，引导车辆选择最佳行驶路径；

车载终端与云平台交互通过无线通信技术接收云平台下发的控制指令，实时共享车辆的娱乐信息，地图，路况等数据。

本发明公开了一种交通传感网数据传输系统，包括存储器和处理器，存储器存储有计算机程序，所述处理器执行所述计算机程序时实现所述的方法步骤。

更进一步，所述认证单元、生成单元、发送单元、加密单元和杂凑函数单元配置于客户端；所述认证单元、接收单元、解密单元和杂凑函数单元配置于服务端；所述发送单元与接收单元相互配合进行密钥数字证书的签发，加密单元与解密单元相互配合进行混合加密。

更进一步，V2X近场通信无线网络，用于具体交通场景下车与路、车与车的通信；

物联移动网络，用于交通场景下对所有环境、交通动静态状况进行监测、控制以及数据传输，包括NB-IOT、EPC网络；

人员以及车通信网络，包括4G/3G/2G网络；

承载移动网络的基础光纤网络：用于连接所有5G/LTE-V、NB-IOT、DSRC以及3G/4G基站所需要的基础光缆网络。

本发明公开了一种计算机可度存储介质，其上存储有计算机程序，所述的计算机程序被处理器执行所述的方法步骤。

3、本发明所采用的有益效果

(1)本发明采用非对称加密算法（SM2）和对称加密算法（SM4）进行车联网通信数据传输；本发明为车联网通信数据传输之前需要进行节点设备（车载终端、服务器端、云端、路测端等）双向认证；能够简化证书数据解析流程，进一步提高认证效率；本发明相较于混合算法扩散性、混淆性更强，安全性更高。

（2）本发明服务端承载的智能交通轻量化密钥证书，对客户端和服务端进行双向认证，有效地确保通信双方的身份。

（3）发送方随机生成SM4密钥和明文进行加密传输，由于认证双方无需时间同步，若数据传输后显示曾经已出现的随机密钥和明文，则传输过程中出现攻击者，有效地防止重放攻击的威胁。

（4）发送方使用对称加密明文和非对称加密密钥的混合加密方法，同时加入随机密钥和随机明文计算散列值进行对比验证，若散列值不相同，则数据在传输过程中产生修改或变动，有效地确保传输数据无法被篡改的可能。

附图说明

图1为实施例1提供的一种基于混合加密的交通传感网数据传输流程图；

图2为实施例1提供的一种智能交通传感网示意图；

图3为实施例1提供的一种智能道路安全专网示意图；

图4为实施例1提供的一种智能车载终端对服务端证书签发流程图；

图5为实施例2提供的一种基于混合加密的交通传感网数据传输系统的结构图。

具体实施方式

下面结合本发明实例中的附图，对本发明实例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域技术人员在没有做创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

下面将结合附图对本发明实例作进一步地详细描述。

本发明实施例提供了一种基于混合加密的交通传感网数据传输方法及系统，用来解决如何实现密钥管理难度低且加密速度快、效率高的数据传输问题。

实施例1：

本发明提供一种基于混合加密的交通传感网数据传输方法，基于对称加密算法SM4与非对称加密算法SM2得到的混合加密算法，在客户端与服务端进行端到端的数据传输。

结合图1，本发明的数据传输方法具体步骤如下：

步骤1、基于服务端承载的智能交通轻量化密钥数字证书对客户端和服务端进行双向认证，验证通过后在客户端和服务端建立通信通道。

步骤2、客户端随机生成SM2密钥对，并通过密钥数字证书将SM2密钥对加密发送至服务端。

步骤3、客户端和服务端分别一方作为发送方，一方为接收方。发送方随机生成SM4密钥Key和明文Data，使用SM4密钥Key通过SM4算法对明文Data进行加密，得到密文CData。

步骤4、发送方使用SM2公钥通过SM2算法对SM4密钥Key进行加密，得到密钥块CKey。

步骤5、发送方对明文Data与密钥Key进行散列运算，得到散列值CHash。

步骤6、发送方将密文CiperData、密钥块CiperKey及散列值CHash形成发送数据一同发送至接收方。

步骤7、接收方使用SM2私钥通过SM2算法对密钥块Ckey进行解密得到密钥Key。

步骤8、接收方使用密钥Key通过SM4算法对密文CData进行解密，得到明文Data。

其中，通过步骤1中验证SCEP服务器证书过程，本实施例步骤具体包括如下分步骤：

步骤1中所述验证SCEP服务器证书包括如下分步骤：

步骤1.2服务端向客户端发送自己的数字证书；

步骤1.6服务端向客户端发送响应请求；

本发明在客户端和服务端建立通信通道传输数据前，使用密钥数字证书实现双向认证；数据传输过程中，使用混合加密传输的方法，结合SM4对称加密算法加解密速度快和SM2非对称加密算法加密密钥管理难度低的优势，同时加入随机明文作为数字签名进行散列值对比验证，有效地保证数据在传输过程中未被篡改。

结合图2，本发明的智能交通传感网示意图从具体通信层级和内容具体包括V2X近场通信无线网络、物联移动网络、日常车载人员和车通信网络以及承载移动网络的基础光纤网络。其中：

V2X近场通信无线网络，用于具体交通场景下车与路、车与车的通信；

物联移动网络，用于交通场景下对所有环境、交通动静态状况进行监测、控制以及数据传输，根据不同特性的数据，即功耗小流量以及高功率大数据传输情况，主要包括运营商的NB-IOT、EPC网络等；

日常车载人员以及车通信网络：用于车载人员以及车载终端正常的通信和娱乐需要，主要包括运营商的4G/3G/2G网络。

本发明适用于交通传感网中多种网络通信方式，用于具体交通场景下车与车、车与路、车与人及车与云通信数据传输过程。

结合图3，本发明的智能道路网示意图包括从基础服务的角度构建由环境感知（气象感知、路况感知）、智能化标识、智能显示单元等道路智能化设施组成的智能交通传感网的混合加密应用。其中：

智能信号及流量监测设备是通过交通信号系统，主要包括智慧信号控制机、交通诱导系统以及流量监测系统。流量监测系统用于采集道路交通数据以及路口交通事件数据。道路交通数据包括：实时位置、即时速度、车型分类、车道信息、车流量、平均速度、时间占有率、车头时距、排队长度统计和区域车辆数统计等基础交通统计数据。路口交通事件数据包括：违法停车、逆向行驶、超速行驶、排队超限、严重拥堵、异常事件及不按规定车道行驶等事件信息。

环境感知主要包括气象感知和路况感知。气象感知用于监测区域内的温度、湿度、风力、能见度、水位等多种数据。路况感知通过传感器监测道路上的积水、温度、扬尘、井盖状态等数据以及通过监控设备识别道路上的行人、车辆、异物等并分析处理数据。

智能化标识通过安装在车、站台的数字化标识设备和用户智能手机的互为感知，用于形成标识数据。

智能显示单元，用于发布视距外道路的实时情况及提醒信息，发布内容涵盖路口、交通状况、沿线拥堵状况等传统交通信息，以及交通事故、道路施工、异常天气、临时限速等突发状况的提醒信息。

本发明使用各种基础设施设备采集交通数据，通过移动网、物联网以及光纤网等网络对获取到的数据进行混合加密处理，并将加密数据传输到数据平台进行路况分析、车辆状态分析以及车辆故障分析等。

结合图4，本发明的具体实施需要获取CA证书进行证书签发，服务端响应解码数据获取新CA证书，由车载终端进行本地存储。部分实现代码如下：

接口：

1、获取CA证书

snprintf(path, sizeof(path), "%s/%s.cacrt.pem", KPOOL_PATH, p[n]);

cacrt = FILE_getcrt(path);-------------获取预制CA二级证书

snprintf(path, sizeof(path), "%s/%s.crt.pem", KPOOL_PATH, p[n]);

scep_svrcrt = FILE_getcrt(path);----------加载SCEP服务器下载的证书

ctx = certmgr_new();-------------构造证书管理器

ret = certmgr_add_ca(ctx, cacrt);----------验证SCEP服务器证书，为0则服务器有效

2、证书签发

pctx = cysec_pkey_gen_sm2();

s_assert((pctx != NULL), "failure to generate sm2 \n");------生成SM2公私钥对

ret = cysec_pkey_export_privatekey(pctx, &privatekey_pem, &prikeypemlen, PEM);

s_assert((ret == 0), "export private key error(%08X).\n", ret);

memset(path, 0, sizeof(path));

snprintf(path, sizeof(path), "./kpool/%s.scep.pvk.pem", p[n]);

ret = FILE_writecontent(privatekey_pem, prikeypemlen, path);

SAFE_FREE(privatekey_pem);-------------------保存SM2私钥作为客户端SM2证书的私钥

x509req = cysec_x509req_new(pctx);

s_assert((x509req!=NULL),"generate x509req error...\n");------构造证书签发请求

ret = cysec_x509req_sign(x509req);-------------生成证书签发请求

3、服务器响应解码数据

snprintf(path, sizeof(path), "./kpool/%s.scep.selfcrt.pem", p[n]);

self_crt = FILE_getcrt(path);

s_assert((self_crt != NULL), "load local certificate %s\n error",path);----------------------------------获取请求生成的证书并加载

memset(path, 0, sizeof(path));

snprintf(path, sizeof(path), "./kpool/%s.scep.pvk.pem", p[n]);

local_pctx = FILE_getpvk(path);

s_assert((local_pctx != NULL), "load local prviatekey %s\n error",path);------------------------------获取请求生成的车载终端私钥并加载

memset(path, 0, sizeof(path));

snprintf(path, sizeof(path), "./kpool/%s.scep.certrep.der", p[n]);

rsp_der = FILE_getcontent(path, &rsp_dlen);

if(!rsp_der)

gotofreebuffer;--------------------------------构造SCEP响应句柄

ret = cysec_scep_response_decode(rsp_der, rsp_dlen, rsp);

s_assert((ret == 0), "decode scep message error (%08X)",ret);-------------------------------------------解码SCEP响应数据

实施例2：

本发明的一种基于混合加密的交通传感网数据传输系统，包括认证单元、生成单元、发送单元、接收单元、加密单元、解密单元和杂凑函数单元。其中：

认证单元，用于客户端和服务端之间进行双向认证。所述双向认证基于服务端承载的智能交通轻量化密钥数字证书进行认证，验证通过后，在客户端和服务端间建立通信通道进行端到端的数据传输。

生成单元，用于生成随机SM2密钥对，SM4密钥Key和随机明文Data。

发送单元，用于通过密钥数字证书将SM2密钥对发送至服务端。

接收单元，用于接收通信中密钥数字证书中的SM2密钥对。

加密单元，用于通过SM4密钥加密随机明文数据进行数据传输，并通过SM2密钥对加密SM4密钥进行数据传输。

解密单元，用于通过SM2密钥对密钥块进行解密得到SM4密钥Key，并通过SM4密钥对密文进行解密得到随机明文，通过散列值对比验证加密数据是否传输成功。

杂凑函数单元，用于通过SM3杂凑函数算法计算随机明文和随机密钥Key的散列值。

本实施例中，认证单元、生成单元、发送单元、加密单元和杂凑函数单元配置于客户端；认证单元、生成单元、接收单元、解密单元和杂凑函数单元配置于服务端；发送单元与接收单元相互配合进行密钥数字证书的签发，加密单元与解密单元相互配合进行混合加密。

具体实施时，实施整套数据传输方案需要后台控制系统和硬件Android车载终端ADAS的配合，通过Linux系统使用汇编指令获取车载终端ADAS信息，部分实现代码如下：

接口：

1、连接车载终端ADAS设备

ULONG DEVAPI SKF_ConnectDev (

LPSTR szName, ----------------设备名称

DEVHANDLE *phDev) ------------设备操作句柄

2、获取车载终端ADAS设备状态

ULONG DEVAPI SKF_GetDevState(

LPSTR szDevName, ----------------设备名称

ULONG *pulDevState) ----------------设备状态

3、车载终端ADAS设备认证

ULONG DEVAPI SKF_DevAuth (

DEVHANDLE hDev, ------连接返回的设备句柄

BYTE *pbAuthData， ------交通认证数据

ULONG ulLen) ------交通认证数据长度

4、导入SM2加密密钥对

ULONG DEVAPI SKF_ImportSM2KeyPair (

HCONTAINER hContainer, --------------密钥容器

PENVELOPEDKEYBLOB pEnvelopedKeyBlob) ---------SM2加密密钥对

5、导入SM4加密密钥对

ULONG DEVAPI SKF_ImportSM4KeyPair (

HCONTAINER hContainer, -------------密钥容器

ULONG ulSymAlgId, -----对称算法密钥标识

BYTE *pbWrappedKey, ------对称算法密钥

ULONG ulWrappedKeyLen, -----对称算法密钥长度

BYTE *pbEncryptedData, --------SM4加密私钥

ULONG ulEncryptedDataLen) --SM4加密公私钥对长度

6、导入SM2数字证书

ULONG DEVAPI SKF_ImportCertificate(

HCONTAINER hContainer, -------------容器句柄

BOOL bSignFlag, ---True表示签名证书，FALSE表示加密证书

BYTE* pbCert, -------证书内容缓冲区

ULONG ulCertLen) -------证书长度

7、交通数据明文导入会话密钥

ULONG DEVAPI SKF_SetSymmKey (

DEVHANDLE hDev, -------------设备句柄

BYTE* pbKey, -----会话密钥值缓冲区

ULONG ulAlgID, -----会话密钥算法标识

HANDLE* phKey) -----返回会话密钥句柄

8、交通数据单组加密

ULONG DEVAPI SKF_Encrypt(

HANDLE hKey, ---------加密密钥句柄

BYTE * pbData, -------待加密交通数据

ULONG ulDataLen, ---待加密交通数据长度

BYTE*pbEncryptedData, -----加密后数据缓冲区

ULONG *pulEncryptedLen) -----输出结果数据长度

9、交通数据单组解密

ULONG DEVAPI SKF_Encrypt(

HANDLE hKey, ---------解密密钥句柄

BYTE * pbData, -------待解密密文数据ULONG ulDataLen,---待解密密文数据长度BYTE*pbEncryptedData,-----解密后数据缓冲区

ULONG *pulEncryptedLen) -----输出结果数据长度

10、SM3杂凑验证

ULONG DEVAPI SKF_Digest (

HANDLE hHash, ----杂凑对象（交通明文数据及SM4密钥key）

BYTE *pbData, --------------------------消息数据缓冲区

ULONG ulDataLen, ----------------------------消息数据长度

BYTE*pbHashData, ----------------------SM3杂凑数据缓冲区

ULONG *pulHashLen) ------------------------输出结果数据长度

本发明的数据传输系统如数据传输方法可实现。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims

1.一种基于混合加密的交通传感网数据传输方法，其特征在于：在智能车载终端与智能路测设备、云平台进行端到端的数据传输，所述数据传输方法包括如下步骤：

2.根据权利要求1所述的基于混合加密的交通传感网数据传输方法，其特征在于，服务器响应解码数据：

获取请求生成的证书并加载；

获取请求生成的车载终端私钥并加载；

解码SCEP响应数据。

3.根据权利要求2所述的基于混合加密的交通传感网数据传输方法，其特征在于，后台控制系统和硬件Android车载终端ADAS（Advanced Driving Assistance System，高级驾驶辅助系统）传输通信，通过Linux系统使用汇编指令获取车载终端ADAS信息，设置如下：

接口：

1、连接车载终端ADAS设备，设置设备名称、设备操作句柄；

2、获取车载终端ADAS设备状态，包括设备名称、设备状态；

导入SM2加密密钥对，包括密钥容器、SM2加密密钥对；

4.根据权利要求1所述的基于混合加密的交通传感网数据传输方法，其特征在于步骤1中所述验证SCEP服务器证书包括如下分步骤：

步骤1.2服务端向客户端发送自己的数字证书；

步骤1.6服务端向客户端发送响应请求；

5.根据权利要求1所述的基于混合加密的交通传感网数据传输方法，其特征在于，所述交通传感网为智能交通的数据交互通道，将智能车载终端、智能路测设备、云平台三个层级通过有线、无线通信协议连接起来进行通信；交通传感网交互数据具体包括：

车载终端与车载终端进行信息传递包括车辆位置、行驶速度车辆状态信息，用于判断道路车流状况；

车载终端与云平台交互通过无线通信技术接收云平台下发的控制指令，实时共享车辆的娱乐信息，地图，路况数据。

6.一种交通传感网数据传输系统，包括存储器和处理器，存储器存储有计算机程序，其特征在于；所述处理器执行所述计算机程序时实现如权利要求1-5任一所述的方法步骤。

7.根据权利要求6所述的交通传感网数据传输系统，其特征在于：认证单元、生成单元、发送单元、加密单元和杂凑函数单元配置于客户端；认证单元、生成单元、接收单元、解密单元和杂凑函数单元配置于服务端；发送单元与接收单元相互配合进行密钥数字证书的签发，加密单元与解密单元相互配合进行混合加密。

8.根据权利要求7所述的交通传感网数据传输系统，其特征在于：

人员以及车通信网络，包括4G/3G/2G网络；

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于：所述的计算机程序被处理器执行时实现如权利要求1-5任一所述的方法步骤。